セキュリティ

SECURITY

公開：2025-05-11

【CVE-2025-1656】AutodeskのRevitに深刻な脆弱性、PDFファイル処理時のバッファオーバーフローで情報漏洩のリスクに

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Autodeskアプリケーションで重大な脆弱性を発見
• PDFファイル処理時のヒープベースバッファオーバーフロー
• Revit 2023-2025の複数バージョンが影響を受ける

AutodeskのRevitに発見された深刻な脆弱性

Autodeskは2025年4月15日、同社のRevitアプリケーションにおいて重大な脆弱性【CVE-2025-1656】を発見したことを公開した。この脆弱性は悪意のあるPDFファイルをRevitにリンクまたはインポートした際に発生するヒープベースバッファオーバーフローの問題で、攻撃者によってシステムクラッシュや機密データの読み取り、任意のコード実行などの危険性があることが判明している。^[1]

脆弱性の深刻度はCVSS v3.1で7.8（High）と評価されており、攻撃の成功には特別な権限は必要としないものの、ユーザーの操作を必要とする特徴がある。攻撃元区分はローカルとされ、機密性・完全性・可用性のすべてにおいて高い影響度が示されているのが特徴だ。

影響を受けるバージョンは、Revit 2025（2025.4.1未満）、Revit 2024（2024.3.2未満）、Revit 2023（2023.1.7未満）の3つのメジャーバージョンとなっている。Autodeskは既に修正版をリリースしており、影響を受けるバージョンを使用しているユーザーには速やかなアップデートを推奨している。

Revitの脆弱性影響範囲まとめ

ヒープベースバッファオーバーフローについて

ヒープベースバッファオーバーフローとは、プログラムのメモリ管理における重大な脆弱性の一つを指す。主な特徴として、以下のような点が挙げられる。

• 動的に確保されたメモリ領域の境界を超えてデータを書き込む問題
• システムクラッシュや情報漏洩のリスクが発生する深刻な脆弱性
• 攻撃者による任意のコード実行の可能性がある危険な脆弱性

CWE-122として分類されるこの脆弱性は、特にPDFファイルの解析処理において発生することが確認されている。AutodeskのRevitでは、悪意のあるPDFファイルをインポートまたはリンクした際にヒープ領域でバッファオーバーフローが発生し、攻撃者による不正なコード実行やデータ漏洩のリスクが生じる可能性がある。

Revitの脆弱性に関する考察

Autodeskによる迅速な脆弱性の公開と修正版のリリースは、セキュリティインシデントへの適切な対応として評価できる。しかし、PDFファイルという一般的なファイル形式の処理に起因する脆弱性であるため、多くのユーザーが潜在的な攻撃のリスクにさらされていた可能性が高いことは懸念材料だろう。

今後はPDFファイルの処理に関するセキュリティ検証の強化が必要不可欠となるだろう。特にファイルのインポートやリンク機能は、業務効率を向上させる重要な機能であるため、セキュリティと利便性のバランスを考慮した実装が求められる。

Revitユーザーの多くが建築・設計分野のプロフェッショナルであることを考えると、プロジェクトデータの保護は極めて重要な課題となる。セキュリティアップデートの自動適用機能の実装や、不正なPDFファイルを検知する機能の追加など、予防的なセキュリティ対策の強化が期待される。

参考サイト

1. ^ CVE. 「CVE Record: CVE-2025-1656」. https://www.cve.org/CVERecord?id=CVE-2025-1656, (参照 25-05-11).
2241

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧